비밀번호 평문 노출·관리자용 백도어 등 취약점
[HBN뉴스 = 한주연 기자] LG유플러스가 한국인터넷진흥원(KISA)에 해킹 피해를 신고하겠다고 밝혔다. 그간 '침해 정황을 먼저 파악한 뒤 조치하겠다'는 기조를 뒤집은 형국이다.
LG유플러스는 최근 보안 전문지에서 회사의 내부 서버 관리용 계정 권한 관리 시스템 소스코드와 데이터베이스, 서버 정보 등이 해킹된 의혹을 받고 있다.
 |
| 21일 국회 과학기술정보방송통신위원회에서 열린 정보통신기술(ICT) 분야 산하기관 국정감사에서 홍범식 LG유플러스 대표이사가 해킹 사태와 관련한 위원 질의에 답하고 있다. [사진=연합뉴스] |
홍범식 LG유플러스 대표는 21일 국회 과학기술정보방송통신위원회 정보통신기술(ICT) 분야 산하기관 국정감사에서 이해민 조국혁신당 의원이 한국인터넷진흥원(KISA)에 신고하겠느냐고 묻자 "그렇게 하겠다"고 대답했다.
홍 대표는 "사이버 침해 사실을 확인한 이후 신고하는 것으로 이해하고 있었는데 여러 혼란과 오해가 발생하고 있어 조금 더 적극적으로 검토할 예정"이라고 부연했다.
이 의원은 "LG유플러스가 비밀번호를 암호화하지 않고 소스코드 안에 그대로 노출했다는 것은 금고 바깥에 비밀번호를 써서 쪽지로 붙여 놓은 꼴"이라며 "기술적인 문제 이전에 심각한 보안 불감증"이라고 비판했다.
이 의원에 따르면 LG유플러스가 자체적으로 계정 권한 관리 시스템을 분석한 결과 모바일로 시스템에 접속 시 2차 인증 단계에서 숫자를 입력하고 특정 메모리 값을 변조하면 시스템에 접근할 수 있는 등 모두 8개의 보안 취약점이 드러났다.
웹페이지에는 별도 인증 없이 관리자 페이지에 접근할 수 있는 백도어가 있었고 소스코드에는 백도어에 접속할 수 있는 비밀번호 3자리, 계정 관리에 필요한 비밀번호가 암호화되지 안은 채 평문으로 노출돼 있었다.
이 의원은 "LG유플러스가 서버 운영체계(OS)를 재설치하고 이미지를 뜬 것을 제출했는데 (재설치 전) 상황 그대로가 이미지에 담겼다고 어떻게 보장을 할 수 있는지가 문제"라며 "이 과정에서 보안사고 매뉴얼대로 했는지 조사가 꼭 필요하다"고 강조했다.
이 의원은 "금고 비밀번호를 '0000'으로 설정한 것과 다를 바 없다. 비밀번호를 암호화하지 않고 소스코드에 그대로 노출했다"며"인증이 필요한 URL조차 외부에 공개됐다"고 비판했다.
또한 이 의원은 "유출된 데이터에는 단순 고객 정보뿐만 아니라 서버 목록, IP 주소, 관리자 계정, 암호화된 패스워드 등이 포함돼 있었다"며, "만약 루트 관리자 계정까지 털렸다면 LG유플러스 서버의 실질적 통제권은 해커에게 넘어간 것이나 다름없다"고 우려를 표명했다.
이에 대해 홍 대표는 "해당 부분은 확인해봐야 한다"고 답했다. 이에 이 의원은 "비밀번호를 암호화하지 않고 소스코드 안에 그대로 노출한 점 역시 보안 의지를 의심케 한다"고 말했다.
이어 "보안은 여러 단계의 방어막으로 이뤄져야 하는데, LG유플러스는 방어막 없이 해커들에게 레드카펫을 깔아준 꼴"이라며 "이러한 상황이 줄곧 질문형으로만 이어질 수 밖에 없는 이유는 LG유플러스가 KISA에 신고를 하지 않았기 때문"이라고 질타했다.
이에 대해 홍범식 대표는 "통상 침해 사실을 확인하고 나서야 신고하는 것으로 인지하고 있었다"며 "여러 혼란이 빚어지고 있는 만큼 국회 및 과학기술정보통신부 절차에 따라 신고하겠다"고 답했다.
LG유플러스가 해킹에 대한 보안 사고에 대한 대응 방식과 절차에서 논란을 증폭시키고 있다. 앞으로 LG유플러스가 피해자 보호와 보안 강화를 위해 어떤 조치를 취할지 주목된다.
[저작권자ⓒ HBN뉴스. 무단전재-재배포 금지]
